Onderzoekers konden code uitvoeren in VembuBDR-back-upsoftware door lek

Beveiligingsonderzoekers van het Dutch Institute for Vulnerability Disclosure hebben drie ernstige kwetsbaarheden gevonden in back-upsoftwarepakket Vembu. Het gaat om remote code executions waarbij een systeem potentieel op afstand kon worden overgenomen.

De kwetsbaarheden zitten volgens de onderzoekers in VembuBDR en VembuOffsiteDR. De lekken zitten in versies 3.7.0 en 3.9.1 van de software en zijn gerepareerd in versie 4.2.0.2. VembuBDR is software voor het maken van back-ups die vooral in enterpriseomgevingen wordt gebruikt. In het pakket zouden drie kwetsbaarheden zitten die het mogelijk maken om op afstand code uit te kunnen voeren zonder dat daarbij authenticatie nodig is.

Het eerste lek is CVE-2021-26471. Daarmee kan een aanvaller commando's uitvoeren via de HTTP-api van de software. In diezelfde api zit ook een andere kwetsbaarheid, CVE-2021-26473, die het mogelijk maakt bestanden op het systeem van een client te installeren. Die kunnen dan vervolgens op afstand worden geopend via een webserver. Het laatste lek, CVE-2021-26471, zit alleen in de Windows-client. Ook daar laat de api het toe een commando uit te voeren, wat ook kan met adminrechten. De kwetsbaarheden zijn ernstig; de CVE-classificaties krijgen een score van 9,8.

De onderzoekers vonden de kwetsbaarheden al lang geleden. In november 2020 en februari 2021 lichtten ze Vembu daarover in. De onderzoekers zeggen bij een scan in maart van dit jaar nog zeker duizend kwetsbare systemen met Vembu BDR op internet te hebben gevonden. Sindsdien heeft Vembu de kwetsbaarheden gevonden. De onderzoekers zeggen hun bevindingen nu te publiceren omdat er inmiddels amper meer kwetsbare systemen online zijn.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 25-08-2021 14:40
9 • submitter: x86dev

25-08-2021 • 14:40

9 Linkedin

Submitter: x86dev

Lees meer

Onderzoekers ontdekken kwetsbaarheden die duizenden bluetoothapparaten treffen Nieuws van 2 september 2021
Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update Nieuws van 8 juli 2021
Ethisch hacker wordt niet vervolgd na hack op Twitter-account van Donald Trump Nieuws van 16 december 2020
Nederlandse hacker claimt wachtwoord geraden te hebben van Twitter-account Trump Nieuws van 22 oktober 2020
Meer producten en artikelen
Beveiliging en antivirus Hackers

Reacties (9)

-Moderatie-faq
9
9
6
0
0
2
Wijzig sortering
flashback1989
25 augustus 2021 14:56
wie heeft dan ook zijn backup software aan het publieke internet geknoopt?
Onbekend
@flashback198925 augustus 2021 15:23
Ten eerste moet deze vanwege support altijd de nieuwste updates kunnen downloaden en installeren.
En daarnaast moet deze natuurlijk andere systemen backuppen die mogelijk met het internet verbonden zijn. Dus zitten de meeste backupsystemen direct of indirect verbonden met het internet. En met de vele softwarelekken die gevonden worden, kan je soms gewoon via via naar de backupsoftware toe vanaf het internet.
(Als jij thuis een backup maakt van jouw pc, dan is deze toch ook gekoppeld aan het netwerk/internet?)
Blokker_1999
@Onbekend25 augustus 2021 15:34
Er is een groot verschil tussen een applicatie/appliance die verbinding kan maken met het internet om zelf informatie, zoals updates. te downloaden en een applicatie/appliance die rechtstreeks vanaf het internet te benaderen is.

Wil je andere systemen gaan backuppen dan doe je dat bij voorkeur over een VPN verbinding zodat alle data veilig is en je eigen software helemaal niet benaderbaar moet zijn vanaf het internet. Dan zit er een extra beveiligingslaag tussen.

Ik kan me niet zoveel situaties voorstellen waarbij ik mijn backup software rechtstreeks via internet benaderbaar wens te maken.
batjes
@Blokker_199925 augustus 2021 16:18
In principe maakt een VPN een verbinding niet veiliger. Nu zal een VPN access point doorgaans een stuk veiliger zijn dan van deze backup software. Maar eigenlijk verplaats je alleen de ingang. Als ze zo'n lek in je VPN vinden ga je ook onderuit.
r_bleumer
@batjes25 augustus 2021 16:41
Security is als een ui. Een VPN kan hier wel degelijk een extra laag beveiliging zijn.
smiba
@flashback198925 augustus 2021 15:24
Ik verwacht niet veel, maar wel aan het bedrijfsnetwerk. Mocht je dus in een geïnfecteerde machine zitten die bij deze backup software komt, kan je op die manier je infectie verspreiden.

Gezien de backup server waarschijnlijk bij de VM hosts of andere belangrijke machines kan komen is het vanaf dat moment vaak vrij makkelijk om in een compleet netwerk in te dringen met alle gevolgen van dien.
Het.Draakje
@flashback198925 augustus 2021 15:25
Ik ken een multinational met het hoofdkantoor in Nederland en zijn IT beheer (deels) in India. De tijd dat een grote onderneming zijn IT alleen maar door lokale mensen in het datacenter laat verzorgen ligt al enige tijd achter ons.

(Edit: ik zeg niet dat e.e.a. zonder afdoende veiligheid aan te raden is).

[Reactie gewijzigd door Het.Draakje op 25 augustus 2021 15:27]

Blokker_1999
@Het.Draakje25 augustus 2021 15:39
En de backups gebeuren in de datacentra en alles verbind met elkaar over VPNs.

De tijd dat je alles zomaar vrij over internet laat communiceren ligt gelukkig ook al enige tijd achter ons.
Het.Draakje
@Blokker_199925 augustus 2021 15:47
Ik zeg ook nergens dat het zonder beveiliging gebeurd. Maar remote execution van (backup) software is wel heel normaal. Ook via het internet. En ja, dat gebeurd dan wel via VPN's enz. maar 100% garantie heb je zeker niet.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee